Analisis baru telah mengungkap koneksi antara afiliasi Ransomhub dan kelompok ransomware lainnya seperti Medusa, Bianlian, dan Play.
Koneksi berasal dari penggunaan alat kustom yang dirancang untuk menonaktifkan perangkat lunak deteksi dan respons titik akhir (EDR) pada host yang dikompromikan, menurut ESET. Alat pembunuh EDR, yang dijuluki Edrkillshifter, pertama kali didokumentasikan seperti yang digunakan oleh aktor Ransomhub pada Agustus 2024.
Edrkillshifter mencapai tujuannya dengan menggunakan taktik yang diketahui yang disebut membawa Driver Rentan Anda sendiri (BYOVD) yang melibatkan penggunaan pengemudi yang sah tetapi rentan untuk mengakhiri solusi keamanan yang melindungi titik akhir.
Gagasan dengan menggunakan alat -alat tersebut adalah untuk memastikan kelancaran pelaksanaan ransomware encryptor tanpa ditandai oleh solusi keamanan.
“Selama intrusi, tujuan afiliasi adalah untuk mendapatkan hak admin atau hak admin domain,” kata peneliti ESET Jakub Souček dan Jan Holman dalam sebuah laporan yang dibagikan dengan The Hacker News.
“Operator ransomware cenderung tidak terlalu sering melakukan pembaruan besar dari enkriptor mereka karena risiko memperkenalkan cacat yang dapat menyebabkan masalah, pada akhirnya merusak reputasi mereka. Akibatnya, vendor keamanan mendeteksi enkriptor dengan cukup baik, yang bereaksi afiliasi dengan menggunakan pembunuh EDR untuk 'menyingkirkan' solusi keamanan tepat sebelum mengeksekusi uji coba.
Yang terkenal di sini adalah bahwa alat yang dipesan lebih dahulu yang dikembangkan oleh operator Ransomhub dan ditawarkan kepada afiliasinya – sesuatu dari fenomena langka itu sendiri – digunakan dalam serangan ransomware lainnya yang terkait dengan Medusa, Bianlian, dan Play.
Aspek ini mengasumsikan signifikansi khusus mengingat fakta bahwa baik bermain dan Bianlian beroperasi di bawah model RAAS tertutup, di mana operator tidak secara aktif mencari untuk mempekerjakan afiliasi baru dan kemitraan mereka didasarkan pada rasa saling percaya jangka panjang.
“Anggota tepercaya dari permainan dan Bianlian berkolaborasi dengan saingan, bahkan yang baru muncul seperti Ransomhub, dan kemudian menggunakan kembali alat yang mereka terima dari para pesaing dalam serangan mereka sendiri,” Teori ESET. “Ini sangat menarik, karena geng -geng tertutup seperti itu biasanya menggunakan serangkaian alat inti yang agak konsisten selama intrusi mereka.”
Diduga bahwa semua serangan ransomware ini telah dilakukan oleh aktor ancaman yang sama, dijuluki Quadswitcher, yang kemungkinan terkait dengan bermain terdekat karena kesamaan dalam tradecraft yang biasanya dikaitkan dengan intrusi bermain.
Edrkillshifter juga telah diamati digunakan oleh afiliasi ransomware individu lain yang dikenal sebagai Cosmicbeetle sebagai bagian dari tiga serangan ransomhub yang berbeda dan serangan Lockbit palsu.
Pengembangan datang di tengah lonjakan serangan ransomware menggunakan teknik BYOVD untuk menggunakan pembunuh EDR pada sistem yang dikompromikan. Tahun lalu, geng ransomware yang dikenal sebagai Embargo ditemukan menggunakan program yang disebut MS4Killer untuk menetralkan perangkat lunak keamanan. Baru -baru ini pada bulan ini, kru ransomware Medusa telah dikaitkan dengan pengemudi yang jahat dengan nama baik Abyssworker.
“Aktor ancaman membutuhkan hak istimewa admin untuk menggunakan pembunuh EDR, jadi idealnya, kehadiran mereka harus dideteksi dan dimitigasi sebelum mereka mencapai titik itu,” kata Eset.
“Pengguna, terutama di lingkungan perusahaan, harus memastikan bahwa deteksi aplikasi yang berpotensi tidak aman diaktifkan. Ini dapat mencegah pemasangan driver yang rentan.”
